Ошибка ERR_CERT_NO_REVOCATION_MECHANISM, lk.zakupki.gov.ru

[bobishka]

Здравствуйте.

Криптопро: v.5.11455
ОС: calculate-linux 21 (KDE)
Chromium-GOST: v.93.*

Все работает пока, что, кроме одной вещи:
Никак не могу зайти по https на закрытую часть lk.zakupki.gov.ru

сайт gost.cryptopro.ru показывает на странице в поле cipher: GOST2012*
Сертификаты минкомсвязи и казначейства были установлены в "Доверенные корневые центры сертификации".

При первом редиректе на https://lk.zakupki.* вываливается ошибка ERR_CERT_NO_REVOCATION_MECHANISM, если ее игнорировать все будет работать, но без ssl

[deemru]

Здравствуйте, у нас не воспроизводится.

Возможно, вместо "ОС: calculate-linux 21 (KDE)" необходимо использовать что-то более поддерживаемое.

[bobishka]

Ага, однако же все работает, именно кроме этого.

В принципе разница в дистрибутивах не столь критична, если понимаешь, что делаешь. Если есть возможность подскажите хоть в какую сторону покапать?! На форуме криптопро посоветовали написать сюда.

[deemru]

Начните с поиска информации об ошибке ERR_CERT_NO_REVOCATION_MECHANISM

[bobishka]

Понятно, предлагаете копаться в исходниках :( . Потому что информацию особо я не нашел по этой ошибке. даже не понятно пока, что она означает именно.

[shatle03]

Зачем в исходниках ковыряться? Попытайтесь покормить Крипту актуальными crl.
Или попробуйте отключить
https://cloud.google.com/docs/chrome-enterprise/policies/?policy=RequireOnlineRevocationChecksForLocalAnchors

[bobishka]

Спасибо!
Я просто не понимал что эта ошибка вообще означала. Теперь стало яснее)

[bobishka]

Кормешка прошла успешно. Все заработало.

Подскажите плиз, это все таки проблемы на стороне браузера или крипты?

[shatle03]

IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет.
Возможно, что следующий сертификат они себе сделают как положено.

[deemru]

Браузер вызывает функции безопасности, если они вернули ошибку, то это точно не проблема браузера сообщить вам об этом.

[bobishka]

IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет.
Возможно, что следующий сертификат они себе сделают как положено.

Самое интересное что они прописаны. Я и список-то скачал по той ссылке которые там указаны. Интересно, что вторая ссылка (http://crl.fsfk.local/crl/ucfk_2020.crl), видимо какая-то локальная или что-то, что я пока не вкурил. Может из-за этого проблемы?!

[deemru]

IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет.
Возможно, что следующий сертификат они себе сделают как положено.

Самое интересное что они прописаны. Я и список-то скачал по той ссылке которые там указаны. Интересно, что вторая ссылка (http://crl.fsfk.local/crl/ucfk_2020.crl), видимо какая-то локальная или что-то, что я пока не вкурил. Может из-за этого проблемы?!

Тогда можете проблемный сертификат сюда закинуть, попробуем точно разобраться, где и в чём ошибка?

[bobishka]

chain_lk_zakupki.zip

Прикрепил всю цепочку

[deemru]

На 5.0.12000 ошибок не видно.

/opt/cprocsp/bin/amd64/certmgr -list -verbose -chain -file lk_zakupki_user.cer

Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : [email protected], S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject             : INN=007710568760, OGRN=1047797019830, STREET=Большой Златоустинский переулок дом 6 стр.1, [email protected], C=RU, S=г. Москва, L=г. Москва, O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, OU=Управление развития контрактной системы, CN=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
Serial              : 0x60AFE53D09CF810CB4E42712CA2632B829582657
SHA1 Thumbprint     : 78d5e6e6fd1190ba9d5ef0192a9681021c7123c8
SubjKeyID           : 9a70ce9126ba79795d559cce9bdd42fc1d110f49
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Public key          : 04 40 c6 56 ae 43 5a 68 93 b9 08 86 b1 04 93 b5 
                      6c df 9f bc a9 85 9f e3 5d 8f 6b 72 48 65 86 a6 
                      f4 ab c8 1f e1 be 16 6c 18 da 41 c4 19 b9 6d 9e 
                      19 10 4c b2 5d f8 91 d8 58 00 a7 48 41 bf 30 18 
                      14 9f 
Not valid before    : 30/09/2020  06:03:33 UTC
Not valid after     : 30/12/2021  06:03:33 UTC
PrivateKey Link     : No                  
Subject Alt Names
  DNS Name          : *.zakupki.gov.ru
  DNS Name          : zakupki.gov.ru
CDP                 : http://crl.roskazna.ru/crl/ucfk_2020.crl
CDP                 : http://crl.fsfk.local/crl/ucfk_2020.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1
                      1.3.6.1.5.5.7.3.2 Client authentication
Certificate chain   : Verified successfully.
#0:
  Issuer            : Минкомсвязь России
  Subject           : Минкомсвязь России
  Not valid before  : 06/07/2018  12:18:06 UTC
  Not valid after   : 01/07/2036  12:18:06 UTC
  SHA1 Thumbprint   : 4bc6dc14d97010c41a26e058ad851f81c842415a
#1:
  Subject           : Федеральное казначейство
  Not valid before  : 05/02/2020  14:02:47 UTC
  Not valid after   : 05/02/2035  14:02:47 UTC
  SHA1 Thumbprint   : 34d46afd0cb2a6530926ba5f5e6a058365f09969
#2:
  Subject           : ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
  Not valid before  : 30/09/2020  06:03:33 UTC
  Not valid after   : 30/12/2021  06:03:33 UTC
  SHA1 Thumbprint   : 78d5e6e6fd1190ba9d5ef0192a9681021c7123c8
=============================================================================

[ErrorCode: 0x00000000]

[bobishka]

К сожалению не могу воспроизвести это в точности на версии 5.0.11455, так как certmgr этой версии не поддерживает параметр "-chain".
Нахальное использование этой утилиты из версии 5.0.12000 приводит к ошибке - "внутренняя ошибка в цепочке".

Возможно, где-то ошибка в моей конфигурации или это какой-то недуг версии 5.0.11455. Видимо придется пробовать инсталить версию 12000 и покупать новую лицензию

[necros2k7]

Зачем в исходниках ковыряться? Попытайтесь покормить Крипту актуальными crl. Или попробуйте отключить https://cloud.google.com/docs/chrome-enterprise/policies/?policy=RequireOnlineRevocationChecksForLocalAnchors

а как это сделать , флаг какой-то есть или параметр командной строки?